Hace un tiempo me entere de la existencia en el mercado de un supuesto servicio de recuperación de contraseñas para Hotmail y Facebook Colombiano, como esto es obviamente sospechoso decidí realizar una prueba para verificar cual era la forma en la que operaban, sabiendo desde el principio que debía tratarse de alguna técnica de ingeniería social o phishing avanzado.

El supuesto “servicio legal” es ofrecido desde el 2007 como su creador lo anuncia en www.clavehotmail.com haciendo alusión a investigaciones de tipo privado que atrapa infieles.

Así pues me decidí a solicitar un nuevo servicio por el que cobran $35.000 (unos 20 USD) y que se paga solo si resulta exitoso el robo de la contraseña de Hotmail o Facebook, para obtener la contraseña utilicé cuentas falsas creadas específicamente para este fin (que estarán censuradas).

Para fines de este articulo en la comunidad dragonjar, el correo del solicitante será abc@gmail.com y el de la víctima def@hotmail.com, después de realizada la solicitud envían al correo del solicitante unas instrucciones y un PIN con lo que podrá hacer seguimiento al estado de su solicitud como se muestra a continuación.

Importante ver la seriedad con la que intentan impresionar estos delincuentes, tenemos que decirles que tenemos mucho tiempo para hacerles perder de ser necesario, para nosotros esto no es perder el tiempo, ¡esto es lo que nos apasiona!

Al entrar a verificar el estado de mi solicitud me encuentro con la siguiente plataforma que tiene varias opciones y donde de ser efectivo el robo de la contraseña se mostraran 2 imágenes del buzón de entrada. El que quiera saber más acerca de las opciones con el PIN puede entrar y verificar las opciones disponibles.

8 horas después de realizada la solicitud apareció como por obra de magia en la bandeja de entrada de la victima este correo electrónico.

Revisando el origen del correo enviado nos arroja las siguientes características

Y verificando a donde apunta la dirección IP se obtiene lo siguiente:

Al abrir el correo electrónico debo admitir que esperaba algo mas que un clásico y triste PHISHING, que además de conocido es claramente penalizado por la LEY 1273 DE 2009 sobre delitos informáticos en Colombia (artículos 269F y 269G), por lo que el dueño del servicio aunque no lo crea (debe ser así por la gran cantidad de información que tiene disponible en la red) es un delincuente informático y puede tener de 4 a 7 años de prisión en una cárcel Colombiana, como la modelo de Bogotá.

De hecho en su apartado de “Ayuda y soporte” específicamente en “Preguntas frecuentes” tienen una espacio dentro de estas preguntas dedicado exclusivamente a resolver las “PREGUNTAS ACERCA DE LAS LEYES INFORMÁTICAS”, donde con pobres argumentos sin fundamentos legales intenta convencer a sus clientes que el servicio es “Legal”, cuando cualquiera que pueda leer el Artículo 269F. Violación De Datos Personales y el Artículo 269G. Suplantación De Sitios Web Para Capturar Datos Personales de la LEY 1273 DE 2009 para delitos informáticos en Colombia, puede comprobar que claramente lo que se realiza en ClaveHotmail.com es un delito informático.

Después de no atender la solicitud del correo electrónico fraudulento la probabilidad en la verificación del caso es del 0% como muestra la siguiente imagen.

¿Pero quién está detrás de este caso donde 4.483 personas han creído en que el servicio es legal?

Que incluso a engañado a los periodistas de la revista Aló, donde lo referenciaron en el 2010 y hasta lo publicaron en la versión online de ElTiempo.com

Ahora suponiendo con base en las estadísticas de la web www.clavehotmail.com que indica que el 85% de probabilidad es favorable para conseguir una contraseña, es decir que 3.810 han logrado un password por $35.000, y que realizando una simple operación entrega un gran total de $133’350.000 deja al descubierto el gran negocio que es para un delincuente realizar este tipo de operaciones sobre personas incautas.

Algo que no se puede negar fácilmente debido a la clara relación que tiene la página del phisher con la web fraudulenta.

Convirtiendo a el señor responsable de todo esto DANIEL RINCÓN de TULUÁ VALLE, en un delincuente con 4 años de trayectoria.

Gracias a Google se encontró algo más de información, la cual es importante para identificar al responsable de este delito informático.

Acá aparece la dirección de contacto, el correo electrónico y número de teléfono.

Por último algunas recomendaciones de seguridad tomadas de varios sitios para evitar caer en este tipo de delitos.

• No hagas click a enlaces que vienen en correos electrónicos.
• Para visitar una página introduce la dirección en la barra de direcciones.
• Disminuye la cantidad de correo no deseado que recibes.
• No proporciones información confidencial.
• Nunca envíes información confidencial por correo electrónico.
• Actualizar su sistema operativo, antivirus y firewall.

Por último esperamos que las autoridades correspondientes tomen cartas en el asunto y cuanto antes tomen medidas para evitar que este tipo de sitios sigan operando y sobre todo se tomen las medidas contra las personas que están detrás de esto.

También puede interesarte...

• ¿Cómo Recuperar una Cuenta de Facebook?
• Recupera tu Password de FileZilla
• Cambia tu clave maestra en LastPass
• Recupera tu Password de Facebook
• Robando claves por XSS del Administrador de Contraseñas del Firefox
• Resetear Password de Root
• Usando Google para descifrar Password MD5
• ¿Como se realiza el SMiShing?

Actualizo esta entrada con un nuevo video que nos muestra la forma de actuar de los delincuentes que realizan el SMiShing ya que los casos reportados en esta temporada navideña han crecido significativamente.

El SMiShing es el término que se le ha dado a un tipo de “Phishing” que se realiza por medio de ingeniería social empleado mensajes de texto dirigidos a los usuarios de Telefonía móvil.

El fraude es muy simple, una delincuente envía un mensaje de texto haciéndole creer al destinatario que ha sido el ganador de una buena suma de dinero o que ha realizado una compra costosa con la tarjeta de crédito (en realidad puede ser cualquier otra historia, pero estas son las más comunes) y le pide que se comunique con un teléfono que le proporciona, para hacer efectivo su premio.

En esta comunicación, la víctima es guiada paso a paso por medio de engaños a realizar alguna acción definida por su atacante, que puede ir desde transferencia de dinero, a traspaso de minutos, o robo de información para suplantar su identidad, en el siguiente vídeo, escucharemos como un periodista de La W Radio, se hace pasar por una supuesta víctima de este fraude y nos muestran cómo actúan los delincuentes.

Video enviado por @6a68 este SMS fué enviado.

Otro audio gracias a juanalvarez9:

Este audio ha sido tomado por @ocioweb para iniciar la campaña “Trollea por una Causa”, cuyo objetivo es hacer perderle el tiempo a los delincuentes, para que en ese tiempo no puedan engañar personas que aun desconocen de este tipo de fraudes y caen fácilmente en él.

También puede interesarte...

• Phishing a Movistar Colombia
• Libera de AT&T tu IPhone
• ClaveHotmail.com cometiendo delitos desde el 2007
• Protegerse de las estafas en Internet
• ¿Cuáles fueron las armas que más usaron los “hackers” en 2007?
• 8 claves para evitar el phishing en las compras de navidad
• Manos negras en la red – Extras – Videos de Phishing y DoS
• Phishing a Bancolombia muy “real”

Como ya saben, hace poco realice una entrevista para el programa Testigo Directo hablando sobre seguridad informática y el reciente caso de “Sophie Germain”, para ese video (que pensaba era mas largo) me pidieron realizar algunas guías visuales, sobre temas específicos en los que querían profundizar ya que están siendo muy utilizados en Colombia.

El primero de ellos es el Phishing, del que se hablo un poco en el programa y querían tener material extra un poco mas largo:

Les recomiendo visitar el apartado Anti Phishing de nuestra comunidad, donde encontraras herramientas para complementar los consejos expuestos en el video.

Y el segundo eran los ataques de denegación de servicio, ya que están siendo utilizados masivamente como forma de “protesta” en el país y querían saber que tan sencillo seria realizarlos:

Espero que a alguien les sea de utilidad, se que no son gran cosa, pero fue lo que me pidieron y como ya estaban hechos, no quería dejar de utilizarlos.

También puede interesarte...

• ClaveHotmail.com cometiendo delitos desde el 2007
• ¿Como se realiza el SMiShing?
• ¿Cómo mitigar un DDoS o una Botnet?
• Norton saca servicio de DNS Publico
• Video Tutorial SET (Social Engineering Toolkit)
• reDoS – Denegación de Servicios con Expresiones Regulares
• Respuesta jurídica frente ataques informáticos
• Phishing a Movistar Colombia

Los DNS Públicos se están popularizando bastante, primero OpenDNS, luego grandes compañías Google y ahora Symantec quieren sacar una tajada de este mercado ofreciendo su propio servicio de DNS Publico.

Norton DNS es el nuevo servicio de DNS Publico ofrecido por Symantec, cuando algunos pensabamos que este mercado ya estaba saturado, llega Norton DNS a ofrecernos algo “diferente”.

Este nuevo servicio nos ofrece lo mismo que los OpenDNS y los Google DNS (velocidad al resolver la dirección ip de un dominio, constante actualización de su base de datos etc…), pero con un Plus!, cuando solicitemos una IP que ha sido reportada como maliciosa, nos avisa del problema y evita que suframos una infección o caigamos en un fraude online.

De momento  el mejor servicio de DNS Publico sigue siendo OpenDNS, quien ademas de ofrecernos todo lo que ofrecen los demás (rapidez al resolver ips, anti phishing, anti malware), nos brinda tecnologías como SmartCache que nos permite acceder mas rápido a nuestros sitios preferidos, ademas de esto OpenDNS es el único que de momento permite realizar configuraciones personalizadas y controles de acceso para los equipos que deseemos.

De todas formas es bueno tener alternativas y opciones para poder escoger, les dejo entonces un enlace para que prueben ustedes mismos el Norton DNS.

Visitar Norton DNS

Mas Información:
FAQ del Norton DNS

También puede interesarte...

• Antivirus Gratuitos son mas Rápido
• ClaveHotmail.com cometiendo delitos desde el 2007
• ¿Como se realiza el SMiShing?
• Manos negras en la red – Extras – Videos de Phishing y DoS
• Instituto de Ciberseguridad de Norton
• Antivirus gratis para Mac OS X y GNU Linux
• SSDownloader – Gestor de descargas para Herramientas de Seguridad
• ¿Como implementar la seguridad en la Nube?

La ingeniería social es una de las puertas de acceso mas utilizadas por los delincuentes, para robar tu información personal o infiltrarse en una empresa. Por este motivo cada pentest que realicemos a una organización, siempre debe incluirse técnicas de ingeniería social, para ver que tan vulnerable es la empresa a este tipo de ataques y tomar las medidas correspondientes.

SET (Social Engineering Toolkit) es un kit de herramientas que nos ayudara en la tarea de realizar ataques de ingeniería social, nos permite suplantar fácilmente la identidad de un sitio determinado, o enviar ataques por mail a las cuentas de correo de la compañía, infectar memorias usb o cds/dvds infectados, todo esto perfectamente integrado con el grandioso Metasploit Framework.

A continuación, les dejo una serie de vídeo tutoriales para aprender a utilizar correctamente este kit de herramientas, espero que lo disfruten:

Parte 1 – Introducción

Parte 2 – Credential Harvester

Parte 3 – Ataque JAVA Applet

Parte 4 – Creando Phishing

Mas Información:
Social-Engineering Toolkit

También puede interesarte...

• DLL Hijacking con Metasploit
• Video Tutoriales de Metasploit Framework
• Manual en español de Meterpreter
• Manual de Metasploit Framework en Español
• Vídeo: Introducción al Metasploit Framework
• Creando un Exploit Paso a Paso
• Metasploit Framework 3.3.2
• Metasploit Framework 3.2 Portable para Windows

INTECO (Instituto Nacional de Tecnologías de la Comunicación), ha creado un documento titulado “Respuesta jurídica frente ataques informáticos”, el cual nos muestra las acciones jurídicas que se pueden llevar a cabo cuando nos ocurren algunos de los incidentes de seguridad mas extendidos en Internet.

Muchas veces se desconoce las leyes que nos protegen frente a este tipo de ataques, por eso esta guía nos enseña de que se trata el Phishing, Pharming, Hacking, Cracking, Malware, como protegernos de esos ataques y acciones legales podemos emprender cuando somos victimas de uno de estos delitos.

El código penal utilizado en el articulo, es el de España, pero el delito aplica a las legislaciones de la mayoría de países; si quieres reportar un incidente de este tipo en Colombia, puedes recurrir a el CAI Virtual de la Policía Nacional, donde te atienden las 24 horas del día, también es recomendable visitar la pagina delitosinformaticos.gov.co donde encontraras muy buena información sobre los delitos informáticos aplicados a la legislación Colombiana.

También puede interesarte...

• La Policía Nacional Colombiana en las Redes Sociales
• Cárcel y Multas para Delitos Informáticos en Colombia
• Consejos Simples de Seguridad para ir a la Campus Party
• Ubicando a las FARC con Google Earth
• IPSec las redes del futuro cercano
• Entrevista con Andrés Eduardo Ormaza, sobre la ley de delitos informaticos en colombia
• Memorias ExpoDefensa 2009
• Encuesta Latinoamericana de Seguridad Informática

Constantemente me llegan a mi casilla de correo, mensajes suplantando diferentes entidades para obtener mis datos personales y bancarios, estos mensajes llegan diariamente a millones de correos electrónicos y son un tipo de fraude llamado Phishing (¿Que es el Phishing?, si no sabes click aquí) normalmente lo que hago con estos mensajes son reportarlos como spam en mi casilla de correo y denunciarlos en portales especializados como phishtank o WOT, para que queden en las listas negras y no afecten mas usuarios.

He recibido un nuevo phishing en el que se hacen pasar por Movistar Colombia invitando a sus usuarios a recargar su saldo; Anteriormente había reportado este mismo fraude y la pagina donde estaba alojada fue desmantelada, pero caí en cuenta que no importa cuantas paginas reporte y den de baja, si no hay educación en las personas respecto a este tipo de fraudes siempre habrá quien suba nuevas estafas en diferentes servidores.

Es por eso que hoy, y a partir de ahora empezare a publicar los fraudes de los que tenga conocimiento y enseñaré de forma practica a todos los visitantes, como identificarlos para que no sean victimas de phishing.

El mensaje que recibí fue este, en donde aprovechando que hoy es día movistar, invitan a recargar el teléfono para obtener el triple de carga.

La persona que envió el correo electrónico, utilizó varios recursos para hacer mas creíble su mensaje:

1. Se Inventó un correo electrónico de para el servicio Triplicargas de Movistar triplicargas@servicio.movistar.com.co
2. Utilizó un banner que utiliza oficialmente el sitio de Movistar Colombia para darle mas credibilidad al mensaje
3. Se limitó a dar instrucciones de hacer click en la imagen, para no “confundir” a los usuarios o no inventarse una escusa para realizar esta acción.

Después de recibido el mensaje y sabiendo que se trataba de un correo fraudulento, abrí una sección limpia en otro navegador para entrar al enlace de la imagen,”http://moviistar.xx.xx” claramente no es la pagina de Movistar Colombia (http://www.movistar.com.co), pero por el nombre posiblemente muchas personas se dejen engañar, al ingresar al portal me encontré con el siguiente mensaje:

Una copia del sitio de Movistar donde solicitan información para recargar el numero celular, le di recargar sin llenar ningún dato y paso al siguiente pantallazo, sin realizar ningún tipo de validación (si fuera la pagina real, si se validarían estos datos).

En la siguiente parte del engaño, me encontré con un formulario donde solicitan mucha mas información personal, remarcaré en rojo las áreas donde muestran dudosa o solicitan información poco habitual, para que las puedan diferenciar mas fácilmente:

1. Celular y Saldo: no muestran esta información, por que no cuentan con ella (aunque en un formulario anterior solicitaron el numero telefónico)
2. Anuncian que el sitio es seguro, pero no enlazan a ningún certificado ni lo comprueban con nada.
3. Solicitan el Banco Emisor, El limite de Saldo de la Tarjeta y el Saldo Actual… ¿por qué? estos datos no son necesarios para realizar la recarga normalmente, pero serian muy util para la persona que envió el phishing saber cuanto puede sacar de cada tarjeta.
4. Por ultimo el código CAPTCHA es estático y no varia, cosa que si haría en una pagina real.

Si llenamos estos datos y le damos en “Confirmar mi Compra”, toda la información será enviada a la siguiente url “http://www.servitecxxx.xxx/plugins/content/procesando_recarga_M.php” donde la persona que envió el correo fraudulento, puede hacer lo que quiera con ella.

Después de mostrarnos un mensaje donde indican que nuestra compra esta siendo procesada, nos redirecciona a la pagina oficial de Movistar Colombia (http://www.movistar.com.co) para evitar cualquier sospecha sobre la pagina.

Como pueden ver es una estafa y de las mas atrevidas que he visto (por la enorme cantidad de información solicitada), aprovechó un buen momento para difundirla ya que el mismo dia Movistar Colombia tenia la promocion de Triplicarga y muchas personas incautas, con ganas de aprovechar la promocion podrian caer.

Afortunadamente el mismo día realicé la denuncia del sitio en phishtank, mywot y al administrador del sitio www.servitecxxx.xxx (ya que muy posiblemente desconoce la existencia de ese archivo en su servidor), al día de hoy el sitio http://moviistar.xx.xx ya esta fuera de linea y es detectado por la mayoría de aplicaciones anti phishing como un fraude.

Les recomiendo ver los siguientes enlaces para ser mas concientes frente a este tipo de fraude.

• ¿Que es el Phishing?
• Charla sobre Phishing
• Herramientas para Protegerse del Phishing

Si te ha llegado un correo como el que me llegó a mi, reenviamelo a dragonjar en gmail y con tu ayuda combatiremos el phishing mas fuertemente.

También puede interesarte...

• ¿Como se realiza el SMiShing?
• ClaveHotmail.com cometiendo delitos desde el 2007
• Phishing a Bancolombia muy “real”
• Mastercard y Microsoft me premiaron!!
• Me gané 2 Millones de Dolares!!
• Respuesta jurídica frente ataques informáticos
• Phishing en Bancolombia
• Cuidado con los correos en tu iPhone o iPod Touch

Esto es lo que ha echo la empresa Avira, con una promoción en la que regala 6 meses de licencia para su producto Avira Premium Security Suite, una completa suite que cuenta con, Anti Virus, Anti Spyware, Firewall, Control Paternal, Backups, Anti RootKits, Anti Bot, Anti Phishing, y mas.

Pasos para obtener una licencia de Avira Premium Security Suite gratis por 6 Meses

• Ingresar a este enlace con la promoción.
• Llenas tus datos poniendo un correo valido y como país de residencia Estados Unidos.
• Al correo que escribiste te llegara tu numero de licencia y un enlace de descarga para el Avira Premium Security Suite.

Disfruta la licencia de esta excelente suite de seguridad y si te agrada en estos 6 meses comprarlo.

También puede interesarte...

• Licencia para Avira AntiVir Premium en Español Gratis
• GRATIS Licencia de Panda Cloud Antivirus PRO
• Listado de Anti Virus “en la Nube”
• Licencia Gratis del Panda Internet Security
• Antivirus gratis para Mac OS X y GNU Linux
• Antivirus para tu Facebook
• ¿Cómo protegernos de los peligros en Internet?
• TOP 10, Mejores AntiVirus Gratuitos del 2010

Microsoft ha lanzado la versión final de su navegador estrella que incluye numerosas mejoras que abarcan desde el soporte de estándares web hasta la seguridad informática, nuevas características han sido implementadas y otras mejoradas como el filtro de sitios maliciosos (phishing, spyware, malware, entre otros), se ha agregado un filtro para prevenir ataques XSS de sitios comprometidos, se han “inspirado” en la característica de Google Chrome para navegar de “incognito” (sin almacenar cookies, historial, cache, ni contraseñas) para implementarla con el nombre de InPrivate en Internet Explorer 8.

También  se “inspiraron”  en Mozilla Firefox para su nueva función de restauración automática, en la que si se cierra nuestro navegador de forma inesperada, automáticamente restaura las pestañas que teníamos al abrir de nuevo el IE.
A pesar que tomaron inspiración de varios de los navegadores mas populares no esta de mas decir que el Internet Explorer 8 supera en creces a cualquiera de sus versiones anteriores, instalenlo y notaran la diferencia.

Descargar Gratis Internet Explorer 8 Final

También puede interesarte...

• Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad
• Curso sobre desarrollo seguro de aplicaciones web por Google
• Actualiza tu equipo con Windows
• Presentación de conceptos básicos en Seguridad Web
• X5S – Encuentra fallos XSS, LFI y RFI fácilmente
• Tus busquedas en Google ahora Cifradas
• 10 Consejos para proteger los Niños en Internet
• “Crean” un navegador pensando en su seguridad

=======================
Hacking de Redes UPnP – Parte I
Hacking de Redes UPnP – Parte II
Hacking de Redes UPnP – Parte III
=======================

Continúa desde “Hacking de Redes UPnP – Parte II“

Una Introducción a Miranda

Miranda es una herramienta de administración de UPnP escrita en Python. Lleva consigo una línea de comandos que soporta autocompletado e historial de comandos, y provee la habilidad de guardar tu trabajo en un archivo que puede ser recargado para su posterior análisis. También puedes alterar las configuraciones del programa sobre la marcha, y registrar todos tus comandos en un archivo log, de manera que puedas saber exactamente lo que ejecutaste y cuando lo ejecutaste.

Miranda puede descubrir hosts UPnP tanto activamente como pasivamente, y con un simple comando pueden ser enumerados todos los tipos de dispositivos, servicios, acciones y variables. Las variables de estado del servicio pueden ser automáticamente correlacionadas con sus acciones asociadas, e identificadas tanto sus variables de salida y/o entrada para cada acción. Miranda almacena la información de todos los hosts en una estructura única de datos y te permite desplegar directamente toda la información y ver su contenido.

Finalmente, puedes ejecutar cualquier acción soportada por el host UPnP; si la acción requiere algún valor de entrada, se te informará su nombre y su tipo (string, 4 byte entero, 2 byte entero, etc), así como los valores permitidos o rangos de valores que el host UPnP ha suplido, y se le pedirá que ingrese el valor.

Descubriendo hosts UPnP con Miranda

Cuando inicias Miranda por primer vez, te llevará a una shell interactiva con un prompt ‘upnp>’ a la espera de ejecución de comandos. La primera cosa que probablemente quieras hacer es descubrir si hay algún host UPnP en tu red; esto puede ser realizado con los comandos ‘pcap’ o ‘msearch’. Cuando es ejecutado el comando ‘pcap’, Miranda se pondrá en escucha (modo pasivo) buscando mensajes SSDP NOTIFY, mientras que el comando ‘msearch’ consultará los dispositivos UPnP usando un mensaje M-SEARCH. Por defecto, ‘msearch’ buscará todos los dispositivos UPnP, pero también se le puede especificar que busque un determinado tipo de dispositivo o servicio si así se desea. En este ejemplo, simplemente buscaremos algún dispositivo:

upnp> msearch

Entering discovery mode for 'upnp:rootdevice', Ctl+C to stop...

****************************************************************
SSDP reply message from 192.168.0.1:5678
XML file is located at http://192.168.0.1:5678/igd.xml
Device is running Embedded UPnP/1.0
***************************************************************

Discover mode halted...

Aquí podemos ver que hay un host UPnP en la red, el cual resulta ser un router DI-524. También podemos ver que es reportado el tipo de servidor UPnP (‘Embedded UPnP/1.0¿), y la ubicación del archivo XML raíz.

Ejecutando el comando ‘host list’ nos muestra la lista de todos los hosts UPnP descubiertos y el número índice de cada uno (el número índice es usado en comandos subsecuentes para hacer referencia a un host específico):

upnp> host list

       [0] 192.168.0.1:5678

Hemos descubierto un host UPnP, ahora necesitamos enumerar sus capacidades. Ejecutando el comando ‘host get 0′ obtendremos toda la información UPnP del host con el índice 0:

upnp> host get 0

Requesting device and service info for 192.168.0.1:5678 (this could take a few seconds)...

Host data enumeration complete!

Ahora buscamos en todos los datos que hemos recogido de este host usando el comando ‘host info’. Este comando nos permite desplegar los datos del host interno de Miranda y ver la información que este almacena. Observa también que todos estos comandos se autocompletaran automáticamente, de manera que no tendrás que escribirlos por completo:

upnp> host info 0

xmlFile : http://192.168.0.1:5678/igd.xml
name : 192.168.0.1:5678
proto : http://
serverType : Embedded HTTP Server 3.23
upnpServer : Embedded UPnP/1.0
dataComplete : True
deviceList : {}

upnp> host info 0 deviceList

InternetGatewayDevice : {}
WANDevice : {}
WANConnectionDevice : {}

upnp> host info 0 deviceList WANConnectionDevice services WANIPConnection actions

AddPortMapping : {}
GetNATRSIPStatus : {}
GetGenericPortMappingEntry : {}
GetSpecificPortMappingEntry : {}
ForceTermination : {}
GetExternalIPAddress : {}
GetConnectionTypeInfo : {}
GetStatusInfo : {}
SetConnectionType : {}
DeletePortMapping : {}
RequestConnection : {}

Dependiendo del host, puede haber muchos datos en esta estructura, así que si quieres ver el resumen de los datos para un host particular, ejecuta el comando ‘host summary’:

upnp> host summary 0

Host: 192.168.0.1:5678
XML File: http://192.168.0.1:5678/igd.xml
InternetGatewayDevice
     manufacturerURL: http://www.dlink.com
     modelName: D-Link Router
     UPC: 123456789001
     modelNumber: None
     presentationURL: http://192.168.0.1:80
     friendlyName: D-Link Router
     fullName: urn:schemas-upnp-org:device:InternetGatewayDevice:1
     modelDescription: Internet Access Router
     UDN: uuid:upnp-InternetGatewayDevice-1_0-12345678900001
     modelURL: None
     manufacturer: D-Link
WANDevice
     manufacturerURL: http://www.dlink.com
     modelName: D-Link Router
     UPC: 123456789001
     modelNumber: 1
     presentationURL: None
     friendlyName: WANDevice
     fullName: urn:schemas-upnp-org:device:WANDevice:1
     modelDescription: Internet Access Router
     UDN: uuid:upnp-WANDevice-1_0-12345678900001
     modelURL: http://support.dlink.com
     manufacturer: D-Link
WANConnectionDevice
     manufacturerURL: http://www.dlink.com
     modelName: D-Link Router
     UPC: 123456789001
     modelNumber: 1
     presentationURL: None
     friendlyName: WAN Connection Device
     fullName: urn:schemas-upnp-org:device:WANConnectionDevice:1
     modelDescription: Internet Access Router
     UDN: uuid:upnp-WANConnectionDevice-1_0-12345678900001
     modelURL: http://support.dlink.com
     manufacturer: D-Link

El comando de resumen nos muestra todos los tipos de dispositivos que este host reporta, así como algún dato adicional relacionado con cada tipo de dispositivo. Si quieres ver toda la información que miranda almacena sobre un host en particular, lo puedes hacer con el comando ‘host details 0′. Sin embargo, la información arrojada por este comando es por lo general bastante larga, probablemente quieras guardarla en un archivo y verla en un editor de texto; esto puede ser hecho con el comando ‘save info 0′:

upnp> save info 0 dl524

Host info for '192.168.0.1:5678' saved to 'info_dl524.mir'

El argumento ‘dl524′ es opcional; si ninguna cadena es pasada como argumento, se usará entonces el número índice en su lugar. Mientras que estemos en la sesión, también podemos guardar los datos que Miranda ha almacenado sobre todos los hosts que han sido descubiertos, de modo que después podamos cargarlos de nuevo e iniciar una nueva sesión:

upnp> save data session1

Host data saved to 'struct_session1.mir'

Enviado comandos UPnP con Miranda

Ahora vamos a explorar algunas de las acciones que podemos ejecutar en este dispositivo. Anteriormente cuando ejecutamos el comando ‘host info’, listamos todas las acciones disponibles para el servicio WANIPConnection que está asociado con el dispositivo WANConnectionDevice; veámoslas de nuevo:

upnp> host info 0 deviceList WANConnectionDevice services WANIPConnection actions

AddPortMapping : {}
GetNATRSIPStatus : {}
GetGenericPortMappingEntry : {}
GetSpecificPortMappingEntry : {}
ForceTermination : {}
GetExternalIPAddress : {}
GetConnectionTypeInfo : {}
GetStatusInfo : {}
SetConnectionType : {}
DeletePortMapping : {}
RequestConnection : {}

Como puedes ver, este servicio es el que soporta las acciones AddPortMapping y DeletePortMapping, así como algunas otras que parecen interesantes. Primero intentaremos ejecutar la acción GetExternalIPAddress; esto se puede hacer con el comando ‘host send’. Para ejecutar un comando, debes indicar el número índice del host, el nombre del tipo de dispositivo que soporta el servicio, el nombre del servicio que soporta la acción, y el nombre de la acción que quieras ejecutar (de nuevo, todos estos campos se autocompletan, no es mas que escribir mientras se va mirando)

upnp> host send 0 WANConnectionDevice WANIPConnection GetExternalIPAddress

NewExternalIPAddress : 68.12.34.56

‘NewExternalIPAddres’ es el nombre de la variable asociada con esta acción, y ’68.12.34.56′ es el valor devuelto para esa variable por el IGD. Algunas acciónes tienen varias variables asociadas con ellas; estas variables pueden ser tanto de entrada (valores que le pasamos al IGS) o de salida (valores devueltos por el IGD). En el caso de la acción GetExternalIPAddress, solo hay una variable de salida. Sin embargo, si hay alguna variable de entrada disponible para una acción, Mirando nos pedirá que introduzcamos estos valores antes de enviar la acción. Toda la información de la variable puede ser enumerada/vista usando los comandos ‘host info’ o ‘host details. No tenemos que tener ningún conocimiento sobre estas variables antes de ejecutar las acciones UPnP.

Intentemos mapeando el puerto 8080 en la WAN para abrir la interfaz administrativa que está en el puerto 80 del IGD (192.168.0.1):

upnp> host send 0 WANConnectionDevice WANIPConnection AddPortMapping

Required argument:
     Argument Name:  NewPortMappingDescription
     Data Type:      string
     Allowed Values: []
     Set NewPortMappingDescription value to: All your ports are belong to us

Required argument:
     Argument Name:  NewLeaseDuration
     Data Type:      ui4
     Allowed Values: []
     Set NewLeaseDuration value to: 0

Required argument:
     Argument Name:  NewInternalClient
     Data Type:      string
     Allowed Values: []
     Set NewInternalClient value to: 192.168.0.1

Required argument:
     Argument Name:  NewEnabled
     Data Type:      boolean
     Allowed Values: []
     Set NewEnabled value to: 1

Required argument:
     Argument Name:  NewExternalPort
     Data Type:      ui2
     Allowed Values: []
     Set NewExternalPort value to: 8080

Required argument:
     Argument Name:  NewRemoteHost
     Data Type:      string
     Allowed Values: []
     Set NewRemoteHost value to:

Required argument:
     Argument Name:  NewProtocol
     Data Type:      string
     Allowed Values: ['TCP', 'UDP']
     Set NewProtocol value to: TCP

Required argument:
     Argument Name:  NewInternalPort
     Data Type:      ui2
     Allowed Values: []
     Set NewInternalPort value to: 80

La acción AddPortMapping recibe varios valores, pero hay unos puntos importantes que deben ser mencionados:

1. Los valores Booleanos son ’1′ (verdadero) o ’0′ (falso)
2. El argumento NewProtocol solo permite dos valores, ‘TCP’ o ‘UDP’
3. No especificamos ningún valor para la variable NewRemoteHost, la cual permite que todos los hosts remotos coincidan con esta asignación de puertos.

No recibimos ningún dato porque la acción AddPortMapping no tiene ninguna variable de salida definida (de nuevo, toda esta información es almacenada en la estructura de datos, si tienes curiosidad). Sin embargo, podemos verificar que la acción fue ejecutada exitosamente lanzando la acción GetSpecificPortMappingEntry:

upnp> host send 0 WANConnectionDevice WANIPConnection GetSpecificPortMappingEntry

Required argument:
     Argument Name:  NewExternalPort
     Data Type:      ui2
     Allowed Values: []
      Set NewExternalPort value to: 8080

Required argument:
     Argument Name:  NewRemoteHost
     Data Type:      string
     Allowed Values: []
     Set NewRemoteHost value to:

Required argument:
     Argument Name:  NewProtocol
     Data Type:      string
     Allowed Values: ['TCP', 'UDP']
     Set NewProtocol value to: TCP

NewPortMappingDescription : All your ports are belong to us
NewLeaseDuration : 0
NewInternalClient : 192.168.0.1
NewEnabled : 1
NewInternalPort : 80

AHora podemos borrar el puerto mapeado con la acción DeletePortMapping. Igual que AddPortMapping, la acción DeletePortMapping no devuelve ningún dato a menos que haya ocurrido un error:

upnp> host send 0 WANConnectionDevice WANIPConnection DeletePortMapping

Required argument:
     Argument Name:  NewProtocol
     Data Type:      string
     Allowed Values: ['TCP', 'UDP']
     Set NewProtocol value to: TCP

Required argument:
     Argument Name:  NewExternalPort
     Data Type:      ui2
     Allowed Values: []
     Set NewExternalPort value to: 8080

Required argument:
     Argument Name:  NewRemoteHost
     Data Type:      string
     Allowed Values: []
     Set NewRemoteHost value to:

Hay una gran multitud de otras acciones interesantes, como por ejemplo ForceTermination, la cual provoca la caída de la conexión WAN del router. Vale la pena explorar los varios servicios y acciones para cada dispositivo que estés auditando.

Conclusión

Si bien, UPnP es un protocolo que pocos entienden, está activo en una vasta mayoría de redes caseras, e incluso también en algunas redes corporativas. Muchos dispositivos soportan UPnP en orden de facilitar el uso para los consumidores, sin embargo, a menudo soportan acciones que ningún servicio debería de estar posibilitado de ejecutar automáticamente, y especialmente sin ninguna autorización. Peor aún, la implementación del protocolo en sí rara vez es construido con una mentalidad prioritaria en la seguridad, dejándolo abierto a futuros ataques.

La mejor defensa contra los ataques UPnP tanto locales como remotos es simplemente deshabilitarlo en algunos/todos los dispositivos de la red. Sin embargo, considerando que este protocolo y otros protocolos “auto-magicos” son diseñados para ayudar a Joe, quien probablemente esté inadvertido de los peligros de tales protocolos, la única verdadera solución es que los vendedores sean mas atentos en sus diseños, y sus implementaciones, mas seguras.

=======================
Hacking de Redes UPnP – Parte I
Hacking de Redes UPnP – Parte II
Hacking de Redes UPnP – Parte III
=======================

Tercera y Ultima parte del articulo Plug-N-Play Network Hacking traducido por Cortex en nuestra seccion Traducción de Artículos de La Comunidad.

También puede interesarte...

• Hacking de Redes UPnP – Parte II
• Hacking de Redes UPnP – Parte I
• Nuevo Gusano Infecta Routers, Modems, y Sistemas GNU Linux
• Respuesta jurídica frente ataques informáticos
• Video: Explotando WM Downloader
• Actualiza tu equipo con Windows
• Descargar Gratis Internet Explorer 8 Final
• Todos los Vídeos de AntiChat – Parte I